Помогите решить задачку

[gekz]

route add сетьвmpd айпишлюзапровайдера
не, не так надо
наверное

клиент включает комп
получает адрес локальной сети 172.18.1.10 к примеру
забивает адрес фтп://сеть прова и он там
инет не пашет

запускает пппое соединение, инет есть - но ограничения по скорости
и есть доступ в сеть прова, но без ограничений

на серваке всего 2 сетевухи
rl0 - внешка (10.10.1.110/24)
re0 - лан (172.18.1.0.24)

тонель или влан?
vlan0 к примеру 10.10.2.2 -> 10.10.2.1
туда натом 172-ю сеть с ограничением на всех 40мб

пппое ng*, натом в rl0

чёта одни наты
блин

или нет?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Гость]

роутингом решается доступ в сеть провайдера и в том и в другом случае
только провайдер должен это разрешить у себя, тоесть тоже роутинг прописать
иначе выражение "клиенты должны иметь доступ к ресурсам провайдера" - идиотское
тоесть если провайдер отказывается и не дает маршрутизацию в свою сеть
то делать доступ в сеть провайдера через нат - полный критинизм - так это и скажите вашему провайдеру

[gekz]

тоесть если провайдер отказывается и не дает маршрутизацию в свою сеть

провайдер как раз то всё даёт

просто пока до него доберешься ноги можно поломать

[Гость]

ну если пров все дает
разберитесь со своими сетями какие вы машрутизируете
только те что в mpd
или те которые без mpd, уже dhcp раздал
или и те и другие
и сообщите провайдеру
пров у себя их пропиши роутингом
а вы их у себя роутингом пропишите, и всего делов то

ну конечно остаются всякие каверзные ньюансы, но я вам оставляю их на самостоятельное освоение

[gekz]

вопросы возникли

правильно ли я понимаю структуру написания правил?

re0 - локальная сеть 172.18.1.0/24
rl0 - внешка 10.10.1.50

vlan0 - 192.168.1.2 висит на внешке видит локалку прова

локальные юзеры никуда не ходят

при подключении пппое им выдаётся адрес из пула 10.10.10.0/24

первое
описываем локалхост
запрещаем всё что не надо

затем идут скипы на блоки

блок 1-й
тут описываем доступ в инет
что разрешаем
заворачивам всё внешку
всё разрешить

блок 2-й
описываем доступ к локалке провайдера
что разрешаем
заворачиваем
всё разрешить

всё запретить


так?

[vadim64]

1 правила надо писать, а не измышления. телепаты, телепатирующие, что вы подразумеваете под "апрещаем всё что не надо" и "заворачивам всё внешку" ещё спят
2 маршрутизация
3 какой с мысл в "всё запретить", если перед этим "всё разрешить" х2??

[gekz]

1 правила надо писать, а не измышления. телепаты, телепатирующие, что вы подразумеваете под "апрещаем всё что не надо" и "заворачивам всё внешку" ещё спят
2 маршрутизация
3 какой с мысл в "всё запретить", если перед этим "всё разрешить" х2??

товарищ
выйди плиз отсюда

[hizel]

в ipfw такое построение увеличит размер фаервола :-)
как-то на opennet была статейка о структурировании правил ipfw, получилось не очень
в основном из-за особенностей NAT-ов применяемых в ipfw

[gekz]

в ipfw такое построение увеличит размер фаервола :-)
как-то на opennet была статейка о структурировании правил ipfw, получилось не очень
в основном из-за особенностей NAT-ов применяемых в ipfw

в инете найдена куча решений
хочу сам разобраться

видимо уже думаю не так

[hizel]

у узнал много нового когда взял два примера их хэндбука раздела о ipfw и разобрал оба примера с man-ом в зубах, да это не быстро, но если вы хотите понимать как оно работает то чо делать :-)
ipfw тiлько кажется простым

[vadim64]

товарищ
выйди плиз отсюда

ну ты и придурок
правила говорю давай

видимо уже думаю не так

джэкпот! вы победили в нашей викторине!

[hizel]

vadim64 успокоился по быстрому, э

[vadim64]

ой, да делайте чё хотите, всё равно ему маршруты рулить, а он всю тему отрицает необходимость этого

[gekz]

ой, да делайте чё хотите, всё равно ему маршруты рулить, а он всю тему отрицает необходимость этого

все мы раньше ползали под столом

я ничего не отрицаю

с фрихи пингует всё, в том числе и внешний влан

это два шлюза

Код: Выделить всё

lazo# route get 192.168.1.1
   route to: 192.168.1.1
destination: 192.168.1.0
       mask: 255.255.255.0
  interface: vlan0
      flags: <UP,DONE,CLONING>
 recvpipe  sendpipe  ssthresh  rtt,msec    rttvar  hopcount      mtu     expire
       0         0         0         0         0         0      1500    -12925
lazo# route get 10.10.20.1
   route to: 10.10.20.1
destination: 10.10.20.1
  interface: rl0
      flags: <UP,HOST,DONE,LLINFO,WASCLONED>
 recvpipe  sendpipe  ssthresh  rtt,msec    rttvar  hopcount      mtu     expire
       0         0         0         0         0         0      1500         8
lazo#
lazo# ifconfig
re0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=389b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
        ether 70:71:bc:dc:af:5b
        inet 172.18.1.1 netmask 0xffffff00 broadcast 172.18.1.255
        media: Ethernet autoselect (1000baseTX <full-duplex>)
        status: active
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:e0:50:fc:03:73
        inet 10.10.20.100 netmask 0xffffff00 broadcast 10.10.20.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> metric 0 mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000
pfsync0: flags=0<> metric 0 mtu 1460
        syncpeer: 224.0.0.240 maxupd: 128
pflog0: flags=0<> metric 0 mtu 33204
vlan0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        ether 00:e0:50:fc:03:73
        inet 192.168.1.2 netmask 0xffffff00 broadcast 192.168.1.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
        vlan: 1 parent interface: rl0

маршрут есть

тут другое дело
и я уже говорил

условия малость поменялись
сперва хотели что бы локалка свободно ходила в локалку прова
подумали, не, так не катит

халява штука заразительная
надо
подняли пппое
увидили мир и локалку прова
вот как разрулить трафик?